Qu'est-ce que Root\InventoryApplicationFile ? (glossaire)
Root\InventoryApplicationFile est la clé de registre principale
à l'intérieur d'Amcache.hve. Elle contient une sous-clé par binaire PE
que le Compatibility Appraiser a inventorié, avec des métadonnées
riches par entrée : chemin complet, SHA-1, éditeur, version, date de link
et horodatage d'inventaire.
C'est la clé dans laquelle les analystes DFIR passent 90 % de leur temps Amcache.
Avec Root\InventoryApplication, elle répond à la
question canonique d'Amcache : « ce binaire a-t-il déjà été présent sur
cet hôte, et qu'est-ce que c'est ? »
Valeurs notables par entrée#
| Valeur | Signification |
|---|---|
Name |
Nom de fichier uniquement (par ex. mimikatz.exe). |
LowerCaseLongPath |
Chemin complet, en minuscules. |
FileId |
"0000" + SHA-1 hex des 31 premiers Mio. |
Size |
Taille du fichier en octets. |
IsPeFile |
1 si le fichier est un PE. |
IsOsComponent |
1 si fait partie de Windows lui-même. |
Publisher / PublisherName |
Chaînes d'éditeur. |
Version / BinFileVersion / ProductVersion |
Chaînes de version. |
ProductName |
ProductName de la ressource PE. |
LinkDate |
TimeDateStamp PE. |
Language |
ID de langue de la ressource PE. |
ProgramId |
Hash d'identité applicative de 44 car. |
Usn |
Entrée du journal USN au moment de l'inventaire. |
Plus le KeyLastWriteTimestamp au niveau registre (pas une valeur ;
les métadonnées propres de dernière écriture de la clé de registre) — qui est ce qui se
rapproche le plus, dans Amcache, du « quand l'appraiser a-t-il enregistré ceci ? ».
Pourquoi les analystes s'y intéressent#
InventoryApplicationFile est la source Windows la plus riche pour
les preuves de fichiers post-suppression. Un wiper peut supprimer le fichier du disque ;
l'entrée persiste dans la ruche pendant des mois. La combinaison de
hash + chemin + éditeur + heure d'inventaire suffit à
identifier un binaire, à le vérifier contre VirusTotal et à borner
quand il est apparu sur l'hôte — tout cela sans le binaire lui-même.
Filtre de triage#
Le filtre standard « est-ce suspect ? » appliqué au CSV AmcacheParser de cette clé :
IsPeFile = True
AND Publisher is empty
AND FullPath is under \Users\, \AppData\, \ProgramData\, or \Temp\
Ce seul filtre fait remonter la grande majorité des artefacts de malware commodity sur un hôte infecté typique.
Pour la visite complète de la structure du registre, voir Structure du registre Amcache.
Termes apparentés#
- Amcache.hve — la ruche.
- FileId — le hash de contenu par entrée.
- ProgramId — l'identité applicative par entrée.
- KeyLastWriteTimestamp — le pivot d'heure d'inventaire.
- LinkDate — le champ d'heure de compilation PE.
Articles liés
- Où se trouve la clé de registre Amcache ?
Amcache est sa propre ruche située à C:\Windows\AppCompat\Programs\Amcache.hve — pas une clé sous HKLM. Quand elle est chargée par des outils ou par Windows lui-même, elle est montée comme HKLM\Amcache.
- Qu'est-ce que le ProgramId Amcache ? (glossaire)
ProgramId est le hash d'identité applicative de 44 caractères qu'Amcache attribue à chaque application logique. Le même ProgramId sur différents hôtes signifie la même installation d'application.
- Qu'est-ce que LinkDate dans Amcache ? (glossaire)
LinkDate est le TimeDateStamp de l'en-tête PE qu'Amcache enregistre — quand le binaire a été compilé ou linké, pas quand il est apparu sur l'hôte.
- Qu'est-ce que KeyLastWriteTimestamp dans Amcache ? (glossaire)
KeyLastWriteTimestamp est l'heure de dernière écriture au niveau registre d'une entrée Amcache — ce qui se rapproche le plus, dans Amcache, de « quand l'appraiser a enregistré ce fichier ».